BaFin einigt sich mit Verbänden auf eine großzügigere Anwendung des Konzernprivilegs im Zahlungsdiensterecht

Seit November 2017 herrschte Unmut in der Branche der Zahlungsdienstleister. Die BaFin hat in dem im November 2017 geänderten Merkblatt zum ZAG das Konzernprivileg eng ausgelegt. Das Konzernprivileg ist in § 2 Abs. 1 Nr. 13 ZAG geregelt, danach gelten Zahlungsvorgänge und damit verbundene Dienste innerhalb eines Konzerns nicht als Zahlungsdienste und bedürfen damit keiner Erlaubnis der BaFin. In dem Merkblatt zum ZAG erläutert die BaFin

Die ZAG-Bereichsausnahme, „Konzernprivileg“ ist ihrem Wortlaut entsprechend eng dahingehend auszulegen, dass von ihr ausschließlich Zahlungsvorgänge erfasst werden, bei denen sowohl der Zahler als auch der Zahlungsempfänger derselben Konzerngruppe angehören. Zahlungsvorgänge „in den Konzern hinein“ oder „aus dem Konzern heraus“ finden im Wortlaut der Vorschrift keine Stütze und sind von der Bereichsausnahme daher nicht erfasst.“

Übernimmt also ein Konzernunternehmen für alle anderen Konzernunternehmen zentral das Forderungsmanagement, um z.B. Lieferanten oder andere Dienstleistungen zu bezahlen, findet nach der Auslegung der BaFin im oben zitierten Merkblatt das Konzernprivileg keine Anwendung. Denn die Lieferanten und Dienstleister stehen in der Regel außerhalb des Konzerns und die Zahlungstätigkeit qualifiziert als Zahlungsdienst. Ein zentrales Cash-Management im Konzern unterliegt damit der Erlaubnispflicht nach dem ZAG. Allein das Zurverfügungstellen der technischen Infrastruktur für Zahlungsvorgänge für alle Konzernunternehmen wäre dann noch erlaubnisfrei. Erlaubnisfrei ist auch, wenn jedes Unternehmen seine eigenen Rechnungen selbst bezahlt.

Diese enge Auslegung des Konzernprivilegs durch die BaFin war eine Abkehr von der bis dahin geltenden Verwaltungspraxis, wonach eine konzerninterne Servicegesellschaft Lieferanten für andere Konzernunternehmen zentral und erlaubnisfrei bezahlen konnte.

Das Merkblatt der BaFin zum ZAG ist bislang noch nicht geändert worden und hat weiterhin den Stand von November 2017. Aber Neuigkeiten verbreiten sich schnell. Der Bundesverband der Deutschen Industrie e.V. (BDI) hat am 7. August 2018 berichtet, dass nach langen und konstruktiven Gesprächen des BDI, des Verbands Deutscher Treasurer e.V. und weiterer Verbände mit der BaFin ein Durchbruch beim Konzernprivileg erzielt wurde. Innerhalb einer Unternehmensgruppe ist der zentrale Zahlungsverkehr durch eine Gesellschaft für den gesamten Konzern nun weiterhin möglich. Voraussetzung hierfür sind vier Kriterien, die Transparenz und interne Kontrollen der Zahlungssysteme sichern:

  1. Für die Dienstleistungen, die im Rahmen von gruppeninternen/-externen Zahlungsvorgängen und damit verbundenen Diensten erbracht werden, schließt das Unternehmen mit den betroffenen gruppenangehörigen Gesellschaften entsprechende Verträge
  2. Um die Nachvollziehbarkeit und Transparenz der vorgenommenen Transaktionen jederzeit zu gewährleisten, dokumentiert das Unternehmen alle Zahlungsvorgänge.
  3. Zur Einhaltung der gesetzlichen Bestimmungen im Zahlungsverkehr (insbesondere dem Außenwirtschaftsrecht) erstellt das Unternehmen für die betroffenen Gesellschaften einheitlich geltende Richtlinien/Vorgaben und setzt entsprechende Prozesse und Systeme Dies gilt insbesondere für Maßnahmen zur Prävention von Geldwäsche und Terrorismusfinanzierung, ohne jedoch hierauf beschränkt zu sein.
  4. Die Einhaltung dieser Richtlinien/Vorgaben wird im Rahmen der internen Kontrollsysteme/Compliance, für Dritte nachvollziehbar, regelmäßig durch geeignete System- und Prozessprüfungen des Unternehmens überprüft. Sich aus diesen Prüfungen ergebende Abweichungen und Unregelmäßigkeiten werden durch angemessene Prozesse adressiert und nachhaltig behoben.

Die vereinbarten Anforderungen klingen umsetzbar und stehen im Einklang mit Erwägungsgrund 17 der zweiten Zahlungsdiensterichtlinie (PSD2). Denn schon in der PSD2 ist angelegt, dass der Einzug von Zahlungsaufträgen im Namen der Gruppe durch ein Mutterunternehmen oder sein Tochterunternehmen für die Weiterleitung an einen Zahlungsdienstleister nicht als Zahlungsdienst im Sinne der Richtlinie gelten soll.

Es ist nun zu erwarten, dass die BaFin im Nachgang an die Verhandlungen mit den Verbänden das Merkblatt zum ZAG entsprechend anpasst, um Rechtssicherheit zu schaffen und ihre neue Verwaltungspraxis dem gesamten Markt bekannt zu geben.

EBA-Vorgaben zur Meldung von Zahlungssicherheitsvorfällen durch BaFin bestätigt

BaFin hat am 7. Juni 2018 ein Rundschreiben zur Meldung schwerwiegender Sicherheitsvorfälle veröffentlicht. Das Zahlungsdiensteaufsichtsgesetz (ZAG) sieht vor, dass ein Zahlungsdienstleister die BaFin unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall unterrichten muss, die dann wiederum die EBA und EZB darüber informiert. Eine weitere Spezifizierung des Adjektivs „schwerwiegend“ erfolgt im Gesetz selbst nicht. Für einen einheitlichen Marktstandard in Deutschland und Europa waren klarstellende Aussagen der Aufsicht für die Klassifizierung von Vorfällen daher wünschenswert.

Die EBA hat bereits am 19. Dezember 2017 Leitlinien zu diesem Thema veröffentlicht, die die BaFin nun eins-zu-eins in ihre Verwaltungspraxis umsetzt. Dadurch werden die EBA-Leitlinien, die originär nur Rechtswirkung gegenüber den nationalen Aufsichtsbehörden in Europa haben, auch für den deutschen Markt bindend.

Das Rundschreiben richtet sich an alle regulierten Institute, die Zahlungsdienste erbringen, also nicht nur an Zahlungsinstitute, sondern auch an E-Geld-Institute und Banken. Es enthält neben praktischen Vorgaben zu Inhalt, Format und Verfahren für die Meldung solcher Vorfälle Auslegungshilfen dazu, nach welchen Kriterien die Relevanz eines Sicherheitsvorfalls im Zahlungsdienstebereich zu bewerten ist. Als Kriterien werden genannt Wert und Anzahl der vom Vorfall betroffenen Zahlungsvorgänge, die Anzahl der betroffenen Zahlungsdienstenutzer/Kunden, die Dienstausfallzeit, wirtschaftliche und systemische Auswirkungen, die Höhe der internen Eskalationsstufe innerhalb des betroffenen Zahlungsdienstleisters sowie Reputationsschäden. Diese Kriterien werden nach niedriger und hoher Auswirkungsstufe gewichtet. So ist z.B. eine niedrige Auswirkungsstufe für die Aufsicht dann erreicht, wenn mehr als 10% des üblichen Transaktionsvolumens des betroffenen Zahlungsdienstleisters und 100.000 EUR durch den Sicherheitsvorfall betroffen sind. Im Verhältnis dazu ist eine hohe Auswirkungsstufe erst ab einem betroffenen Transaktionsaktionsvolumen von über 25% des üblichen Volumens oder 5 Mio. EUR erreicht. Zieht man als Kriterium die Zahl der betroffenen Zahlungsdienstenutzer heran, so liegt eine niedrige Auswirkungsstufe etwa dann vor, wenn mehr als 5.000 und weniger als 50.000 Kunden und mehr als 10%, aber weniger als 25% der Kunden des betroffenen Zahlungsdienstleisters betroffen sind.

Ein schwerwiegender Zahlungssicherheitsvorfall wird angenommen, wenn entweder mindestens ein Kriterium der hohen Auswirkungsstufe oder mindestens drei Kriterien der niedrigen Auswirkungsstufe erfüllt sind. Dann ist eine Meldung des Sicherheitsvorfalls an die BaFin erforderlich.

Auch das neue Rundschreiben der BaFin zeigt, dass die Aufsicht von prinzipienbasierten Vorgaben geleitet ist, die im vorliegenden Fall durch quantitative Kriterien ergänzt werden. Da Sicherheitsvorfälle im Zahlungsdienstebereich abhängig vom individuellen Transaktionsvolumen und der Zahl der individuellen Kunden sind, ist der Proportionalitätsgrundsatz auch hier gewahrt. Das bedeutet, dass bei einem kleinen Zahlungsdienstleister ein Sicherheitsvorfall schon dann meldepflichtig sein kann, wenn bei großen Marktteilnehmern die Relevanzschwelle für Meldungen bei denselben quantitativen Fakten noch nicht erreicht ist.